Author Topic: Sec Event log ID 577 SeTcbPrivilege SeRestorePrivilege Error with Avast 7.0.1456 (Read 4481 times)

czcooper · « **on:** August 07, 2012, 03:43:13 PM »

Hi i have problem with new Avast 7.0.1456 on my WinXP SP3...

We have security policy respect Microsoft High Security and we are auditing many things.

Now in Windows Security Audit we have about ten messages with ID 577 for permision SeTcbPrivilege and SeRestorePrivilege = Act as part of the operating system and Restore files and directories

Settings for this privilege are "default":
Act as part of the operating system - blank
Restore files and directories - Administrators and Backup Operators

With Avast 6.x was everithing OK, but now the 256MB audit is full in ten days.

What is wrong?

igor · « **Reply #1 on:** August 07, 2012, 04:21:45 PM »

I admit I don't know what exactly the audit records/reports, but avast! certainly does acquire the Restore privilege, and always did (the code is actually inside of virus definitions, so unrelated to program version).
What process is that related to?

czcooper · « **Reply #2 on:** August 09, 2012, 07:52:40 AM »

I have two types of evenst in security log. There are about twenty events per every minute. If i uninstall avast 7, everything is OK.

Quote from: Windows Security Event Log

Typ události:   Auditovat neúspěšné provedení operací
Zdroj události:   Security
Kategorie události:   Oprávněné použití
ID události:   577
Datum:      9.8.2012
Čas:      7:43:20
Uživatel:      W000\admin
Počítač:   W000
Popis:
Volání privilegované služby:
    Server:            Security
    Služba:            -
    Jméno primárního uživatele:   admin
    Primární doména:      W000
    ID primárního přihlášení:   (0x0,0xDC04)
    Klientské jméno uživatele:   -
    Doména klienta:      -
    ID přihlášení klienta:      -
    Oprávnění:         SeRestorePrivilege

Další informace získáte v Centru pro nápovědu a pomoc na http://go.microsoft.com/fwlink/events.asp.

Quote from: Windows Security Event Log

Typ události:   Auditovat neúspěšné provedení operací
Zdroj události:   Security
Kategorie události:   Oprávněné použití
ID události:   577
Datum:      9.8.2012
Čas:      7:43:21
Uživatel:      W000\admin
Počítač:   W000
Popis:
Volání privilegované služby:
    Server:            Security
    Služba:            -
    Jméno primárního uživatele:   admin
    Primární doména:      W000
    ID primárního přihlášení:   (0x0,0xDC04)
    Klientské jméno uživatele:   -
    Doména klienta:      -
    ID přihlášení klienta:      -
    Oprávnění:         SeTcbPrivilege

Další informace získáte v Centru pro nápovědu a pomoc na http://go.microsoft.com/fwlink/events.asp.

I think, they have same issue at McAfee - https://kc.mcafee.com/corporate/index?page=content&id=KB67976

Also I have logfiles from Process Monitor: CSV https://www.dropbox.com/s/5mg192nnvnjw15n/Logfile.CSV or PML https://www.dropbox.com/s/n6hn8uj24b08kjd/Logfile.PML.

lukas.hasik · « **Reply #3 on:** August 16, 2012, 09:45:00 PM »

This will be fixed in next version - you can try the Beta now http://forum.avast.com/index.php?topic=102720.0

Author Topic: Sec Event log ID 577 SeTcbPrivilege SeRestorePrivilege Error with Avast 7.0.1456 (Read 4481 times)

czcooper

Sec Event log ID 577 SeTcbPrivilege SeRestorePrivilege Error with Avast 7.0.1456

igor

Re: Sec Event log ID 577 SeTcbPrivilege SeRestorePrivilege Error with Avast 7.0.1456

czcooper

Re: Sec Event log ID 577 SeTcbPrivilege SeRestorePrivilege Error with Avast 7.0.1456

lukas.hasik

Re: Sec Event log ID 577 SeTcbPrivilege SeRestorePrivilege Error with Avast 7.0.1456